Introduccin Un aspecto importante a cuestionar en las auditoras es que la misma sea percibida como una entidad dedicada slo

a la inspeccin (y a veces hasta con una perspectiva policaca), y no al asesoramiento con el objetivo de proteger y mejorar el funcionamiento de la organizacin. Bsicamente todos los cambios que se realizan en una organizacin someten a una gran tensin a los controles internos existentes. Cuando un auditor profesional se somete a auditar una empresa, lo primero que se le viene a la cabeza es mejorar todos los procesos que se llevan en la misma para buscar la eficiencia total. Este trabajo no se hace de la noche a la maana; para ello se empieza ya bien sea por reas o departamentos o mejor dicho se empieza a trabajar internamente. El control interno es una funcin que tiene por objeto salvaguardar y preservar los bienes de la empresa, evitar desembolsos indebidos de fondos y ofrecer la seguridad de que no se contraern obligaciones sin autorizacin. Muchas empresas han dejado de existir como producto de sus falencias en el control interno, y en la falta de una auditora interna que evale eficazmente la misma. La falta de buenos controles internos (no meramente normativos, sino aplicados) no slo han dado lugar a estafas o defraudaciones (sea esta por parte de ejecutivos, empleados o clientes), sino tambin a graves errores en materia de decisiones producto de graves errores en materia de informacin.

2.2- Las funciones de control interno y auditoria informticos: Controla diariamente que todas las actividades de sistemas de informacin sean llevadas a cabo, cumpliendo los procedimientos, estndares y normas fijadas por la direccin de la organizacin y/o la direccin de informtica, as como los requerimientos legales. Suele ser un rgano staff de la direccin del departamento de informtica y est dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden. La funcin del control interno informtico es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y vlidas. Como principales objetivos podemos indicar los siguientes: * Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. * Asesorar sobre el conocimiento de las normas.

UTEG Auditoria de Sistemas

Pgina 1

* Colaborar y apoyar el trabajo de Auditoria informtica, as como de las auditoras externas al grupo. * Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los graso adecuados del servicio informtico, lo cual no debe considerarse como la implantacin de los mecanismos de medida y responsabilidad del logro de esos niveles se ubique exclusivamente en la funcin de control interno, si no que cada responsable de objetivos y recursos es responsable de esos niveles, as como de la implantacin de los medios de medida adecuados. Objetivos de la auditora Informtica Los principales objetivos que constituyen a la auditora Informtica son el control de la funcin informtica, el anlisis de la eficiencia de los Sistemas Informticos que comporta, la verificacin del cumplimiento de la Normativa general de la empresa en este mbito y la revisin de la eficaz gestin de los recursos materiales y humanos informticos. Entre los elementos de un buen sistema de control interno se tiene: 1. Un plan de organizacin que proporcione una apropiada distribucin funcional de la autoridad y la responsabilidad. 2. Un plan de autorizaciones, registros contables y procedimientos adecuados para proporcionar un buen control contables sobre el activo y el pasivo, los ingresos y los gastos. 3. Unos procedimientos eficaces con los que llevar a cabo el plan proyectado. 4. Un personal debidamente instruido sobre sus derechos y obligaciones, que han de estar en proporcin con sus responsabilidades. La Auditora Interna forma parte del Control Interno, y tiene como uno de sus objetivos fundamentales el perfeccionamiento y proteccin de dicho control interno. 2.2.1.- Control interno informtico. Cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para lograr o conseguir sus objetivos. Es una herramienta enfocada a la adecuada gestin de los Sistemas de la Informacin. El sistema conformado por un conjunto de procedimientos (reglamentaciones y actividades) que interrelacionadas entre s, tienen por objetivo proteger los activos de la organizacin. Tcnicas de evaluacin del control interno Las principales tcnicas y ms comnmente utilizadas para la evaluacin del control interno son:

UTEG Auditoria de Sistemas

Pgina 2

1. Memorndums de procedimientos 2. Flujogramas 3. Cuestionarios de Control Interno 4. Tcnicas estadsticas 2.2.2.- Auditoria Informtica. La auditoria informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los eficazmente los fines de la organizacin y utiliza eficientemente los recursos. un conjunto de procedimientos y tcnicas para evaluar y controlar total o parcialmente un sistema informtico , con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente y de acuerdo con la normativa informtica y general existente en cada empresa y para conseguir la eficacia exigida en el marco de la organizacin correspondiente. De este modo la auditoria informtica sustenta y confirma la consecucin de los objetivos tradicionales de la auditoria: * Objetivos de proteccin de activos e integridad de datos, * Objetivos de gestin que abarcan, no solamente los de proteccin de activos, sino tambin los de eficacia y eficiencia.

FUNCIONES A REALIZAR POR UN AUDITOR INFORMATICO: * participar en las revisiones durante y despus del diseo, realizacin, implantacin y explotacin de aplicaciones informticas, as como en las fases anlogas de realizacin de cambios importantes, * revisar y juzgar los controles implantados en los s para verificar su adecuacin a las rdenes e instrucciones de la direccin, requisitos legales, proteccin de confidencialidad y cobertura ante errores y fraudes. * revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e informacin. * Para la realizacin de estas funciones el auditor informtico deber aplicar tcnicas mecanizadas de auditora, incluyendo el uso de software de auditora y otras tcnicas asistidas por computador

UTEG Auditoria de Sistemas

Pgina 3

El auditor es responsable de revisar e informar a la Direccin de la Organizacin sobre el diseo y el funcionamiento de los controles implantados y sobre la fiabilidad de la informacin suministrada.

Auditora Interna y Auditora Externa: La auditora interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La auditora interna existe por expresa decisin de la Empresa, o sea, que puede optar por su disolucin en cualquier momento. Por otro lado, la auditora externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditora Interna, debido al mayor distanciamiento entre auditores y auditados. La auditora informtica interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditora externa, las cuales no son tan perceptibles como en las auditoras convencionales. La auditora interna tiene la ventaja de que puede actuar peridicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitan a las Auditoras, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo. 2.2.3.- Control interno y auditoria informtica: campos anlogos. La evolucin de ambas funciones ha sido espectacular durante la ltima dcada.

CONTROL INFORMATICO SIMILITUDES

INTERNO AUDITOR INFORMATICO

PERSONAL INTERNO Conocimientos especializados en tecnologas de informacin verificacin del cumplimiento de controles internos, normativa y procedimientos establecidos por la direccin informtica y la direccin general para los sistemas de informacin.

DIFERENCIAS

Anlisis de los controles en el Anlisis de un momento da a da informtico determinado Informa a la direccin del departamento de informtica slo personal interno el enlace de sus funciones es nicamente sobre el Informa a la direccin general de la organizacin Personal interno y/o
Pgina 4

UTEG Auditoria de Sistemas

departamento de informtica

externo tiene cobertura sobre todos los componentes de los sistemas de informacin de la organizacin

2.3- Sistema de Control Interno Informtico 2.3.1.- Definicin y tipos de controles internos Se puede definir el control interno como cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. Categoras: * Controles preventivos: intentar evitar que se de cierta situacin. sirva como ejemplo contar con un software de seguridad que impida los accesos no autorizados al sistema. * controles detectivos: cuando fallan los controles preventivos, hay que detectar los fallos. Por ejemplo: los archivos log del sistema (registros de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones). * Controles correctivos: facilitan la vuelta a la normalidad ante una incidencia. en nuestro caso un simple back up supondra un control correctivo. Como el concepto de controles se origin en la profesin de auditora, resulta importante conocer la relacin que existe entre los mtodos de control, los objetivos de control y los objetivos de auditora. Se trata de un tema difcil por el hecho de que, histricamente, cada mtodo de control ha estado asociado unvocamente con un objetivo de control (por ejemplo, la seguridad de archivos de datos se consegua sencillamente manteniendo la sala de computadores cerrada con llave). Sin embargo, a medida que los sistemas informticos se han vuelto ms complejos, los controles informticos han evolucionado hasta convertirse en procesos integrados en los que se atenan las diferencias entre las categoras tradicionales de controles informticos. Por ejemplo, en los actuales sistemas informticos puede resultar difcil ver la diferencia entre seguridad de los programas, de los datos y objetivos de control del software del sistema, porque el mismo grupo de mtodos de control satisface casi totalmente los tres objetivos de control. La relacin que existe entre los mtodos de control y los objetivos de control puede demostrarse mediante el siguiente ejemplo, en el que un mismo conjunto de mtodos de control se utiliza para satisfacer objetivos de control tanto de mantenimiento como de seguridad de los programas: UTEG Auditoria de Sistemas Pgina 5

* Objetivo de control de mantenimiento: asegurar que las modificaciones de los procedimientos programados estn adecuadamente diseadas, probadas, aprobadas e implantadas. * Objetivo de control de seguridad de programas: garantizar que no se pueden efectuar cambios no autorizados en los procedimientos programados. 2.3.2.- Implantacin de un sistema de controles internos informticos Para llegar a conocer la configuracin del sistema es necesario documentar los detalles de la red, as como los distintos niveles de control y elementos relacionados: * Entorno de red: esquema de la red, descripcin de la configuracin hardware de comunicaciones, descripcin del software que se utiliza como acceso a las telecomunicaciones, control de red, situacin general de los ordenadores de entornos de base que soportan aplicaciones crticas y consideraciones relativas a la seguridad de la red. * Configuracin del ordenador base: Configuracin del soporte fsico, entorno del sistema operativo, software con particiones, entornos (pruebas y real), bibliotecas de programas y conjunto de datos. * Productos y herramientas: Software para desarrollo de programas, software de gestin de bibliotecas y para operaciones automticas. * Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e informacin, integridad del sistema, controles de supervisin, etc. Para la implantacin de un sistema de controles internos informticos habr que definir: * Administracin de sistemas: Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administracin de las redes. * Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad. Control Interno Informtico: Ha de definir los diferentes controles peridicos a realizar en cada una de las funciones informticas, de acuerdo al nivel de riesgo de cada una de ellas, y ser diseados conforme a los objetivos de negocio y dentro del marco legal aplicable. stos se plasmarn en los oportunos procedimientos de control interno y podrn ser preventivos o de deteccin. Realizar peridicamente la revisin de los controles establecidos de Control Interno Informtico informando de las desviaciones a la Direccin de Informtica y sugiriendo cuantos cambios crea convenientes en los controles, as como transmitir constantemente a toda la organizacin de Informtica la cultura y polticas del riesgo informtico. POLTICA DE SEGURIDAD PLAN DE SEGURIDAD NORMAS Y PROCEDIMIENTOS UTEG Auditoria de Sistemas Pgina 6

MEDIDAS TECNOLGICAS IMPLANTADAS FORMACIN Y MENTALIZACION CONTROL INTERNO y AUDITORIA POLTICAS y DIRECTRICES ESTANDARES PROCEDIMIENTOS NORMAS y METODOLOGIAS IMPLANTAR PROCEDIMIENTOS DE CONTROL DIRECCIN Exigencias internas y externas COMPROBACIN Y SEGUIMIENTO DE CONTROLES POLITICA CULTURA

Auditor interno/externo informtico: Ha de revisar los diferentes controles internos definidos en cada una de las funciones informticas y el cumplimiento de normativa interna y externa, de acuerdo al nivel de riesgo, conforme a los objetivos definidos por la Direccin de Negocio y la Direccin de Informtica. Informar a la Alta Direccin de los hechos observados y al detectarse deficiencias o ausencias de controles recomendarn acciones que minimicen los riesgos que pueden originarse. La creacin de un sistema de control informtico es una responsabilidad de la Gerencia y un punto destacable de la poltica en el entorno informtico. A continuacin se indican algunos controles internos (no todos los que deberan definirse) para sistemas de informacin, agrupados por secciones funcionales, y que seran los que Control Interno Informtico y Auditora Informtica deberan verificar para determinar su cumplimiento y validez: 1. Controles generales organizativos * Polticas: debern servir de base para la planificacin, control y evaluacin por la Direccin de las actividades del Departamento de Informtica. * Planificacin: UTEG Auditoria de Sistemas Pgina 7

* Plan Estratgico de Informacin. Realizado por los rganos de la Alta Direccin de la Empresa donde se definen los procesos corporativos y se considera el uso de las diversas tecnologas de informacin as como las amenazas y oportunidades de su uso o de su ausencia. * Plan de emergencia ante desastres, que garantice la disponibilidad de los sistemas ante eventos. * Estndares: que regulen la adquisicin de recursos, el diseo, desarrollo y modificacin y explotacin de sistemas. * Procedimientos: que describan la forma y las responsabilidades de ejecutoria para regular las relaciones entre el Departamento de Informtica y los departamentos usuarios. * Organizar el Departamento de Informtica en un nivel suficientemente superior de estructura organizativa como para asegurar su independencia de los departamentos usuarios. * Asegurar que la Direccin revisa todos los informes de control y resuelve las excepciones que ocurran. * Asegurar que existe una poltica de clasificacin de la informacin para saber dentro de la Organizacin qu personas estn autorizadas y a qu informacin. 2. Controles de desarrollo, adquisicin y mantenimiento de sistemas de informacin * Metodologa del ciclo de vida del desarrollo de sistemas: su empleo podr garantizar a la alta Direccin que se alcanzarn los objetivos definidos para el sistema. stos son algunos controles que deben existir en la metodologa: * Las especificaciones del nuevo sistema deben ser definidas por los usuarios y quedar escritas y aprobadas antes de que comience el proceso de desarrollo. * Procedimientos para la definicin y documentacin de especificaciones de: diseo de entrada, de salida, de archivos. De procesos, de programas, de controles de seguridad de pistas de auditora. etc. * Plan de validacin. Verificacin y pruebas. * Estndares de prueba de programas, de prueba de sistemas. * Plan de conversin: prueba de aceptacin final. * Debern prepararse manuales de operacin y mantenimiento como parte de todo proyecto de desarrollo o modificacin de sistemas de informacin, as como manuales de usuario. * Explotacin y mantenimiento: el establecimiento de controles asegurar que los datos se tratan de forma congruente y exacta y que el contenido de sistemas slo ser modificado mediante autorizacin adecuada. Estos son algunos de los controles que se deben implantar:

UTEG Auditoria de Sistemas

Pgina 8

3. Controles de explotacin de sistemas de informacin * Planificacin y Gestin de recursos: definir el presupuesto operativo del Departamento, Plan de adquisicin de equipos y gestin de la capacidad de los equipos. * Seguridad fsica y lgica: * Controles fsicos para asegurar que el acceso a las instalaciones del Departamento de Informtica queda restringido a las personas autorizadas. * Las personas externas a la Organizacin debern ser acompaadas por un miembro de la plantilla cuando tengan que entrar en las instalaciones. * Instalacin de medidas de proteccin contra el fuego. * Control de acceso restringido a los computadores mediante la asignacin de un identificado de usuario con palabra clave personal e intransferible. * Existencia de un plan de contingencias para el respaldo de recursos de computador crticos y para la recuperacin de los servicios del Departamento Informtico despus de una interrupcin imprevista de los mismos. 4. Controles en aplicaciones * Cada aplicacin debe llevar controles incorporados para garantizar la entrada, actualizacin. Validez y mantenimiento completos y exactos de los datos. Las cuestiones ms importantes en el control de los datos son: * Control de entrada de datos: procedimientos de conversin y de entrada, validacin y correccin de datos. * Controles de tratamientos de datos para asegurar que no se dan de alta, modifican o borran datos no autorizados para garantizar la integridad de los mismos mediante procesos no autorizados. * Controles de salidas de datos: sobre el cuadre y reconciliacin de salidas, procedimientos de distribucin de salidas, de gestin de errores en las salidas. etc.

Bibliografa: http://www.wikilearning.com/monografia/auditoria_y_control_lo_que_necesitamos_par a_dirigir_y_controlar_cada_vez_mejor-funciones_basica_del_control_interno/12626-2 http://aabbccddee.galeon.com/winpy.htm http://www.buenastareas.com/ensayos/Control-Interno-y-AuditoriaInformatica/628037.html

UTEG Auditoria de Sistemas

Pgina 9